ZDNet.be gehackt???

[deej]

Blijf effe allemaal weg van zdnet.be. Toen ik vandaag een pagina wou openen wilde die site een script op locatie hXXp://1.verynx.cn/w.js laden. Dat ziet er een dikke trojan uit.

U bent gewaarschuwd!

[meon]

"Safari can’t open the page.
Safari could not open the page “http://www.zdnet.be/” because the server is not responding."

[deej]

"Safari can’t open the page.
Safari could not open the page “http://www.zdnet.be/” because the server is not responding."

Ja ze zullen het misschien zelf gemerkt hebben zeker .

Wel grappig, ik zeg: blijf er weg en jij surft meteen er naartoe .

[Avenger 2.0]

Met de laatste patches zal je (als surfer) wel niet kwetsbaar zijn zeker?

[meon]

Wel grappig, ik zeg: blijf er weg en jij surft meteen er naartoe .

Virtual machine met snapshot

[Gimli]

Niet alleen je windows en browser moet goed gepatched zijn, maar ook alle plugins: acrobat reader, quicktime, flash, Java.

Hoe vaak upgrade jij die?

Hier kan je checken wat je ontbreekt
http://secunia.com/software_inspector/

[Gimli]

Blijf effe allemaal weg van zdnet.be. Toen ik vandaag een pagina wou openen wilde die site een script op locatie hXXp://1.verynx.cn/w.js laden. Dat ziet er een dikke trojan uit.

U bent gewaarschuwd!

Even google gebruikt..

http://www.google.be/search?q=1.verynx.cn%2Fw.js

www.meernieuws.be
dossiers.nieuws.nl
www.hbvl.be
www.totalinfo.be

zijn ook slachtoffers blijkbaar..... SQL injectie aanvallen zoals we nog de laatste maanden gezien hebben.

[DaNi0]

Hier kan je checken wat je ontbreekt
http://secunia.com/software_inspector/

Die personal versie ziet er wel interessant uit om af en toe eens te laten lopen om te zien of ik nog up-to-date ben, iemand anders die dit ook gebruikt?

[deej]

www.automagazine.be heeft het ook vlaggen

[OpThaCop]

Hoe zit het met firefox + add-on "NoScript" ?

Ik gebruik deze van een paar maand terug en vind het geweldig!! Blokkeert zowat alles met javascript.

De site is ondertussen niet meer bereikbaar, maar zou toch wel safe genoeg geweest zijn om een bezoekje te brengen denk ik ?

[Astralon]

zijn ook slachtoffers blijkbaar..... SQL injectie aanvallen zoals we nog de laatste maanden gezien hebben.

Leven die IT'ers op een andere planeet of zo?
http://blogs.msdn.com/benmiller/archive ... 90671.aspx
http://msdn.microsoft.com/en-us/library/ms161953.aspx

[Braindamage]

volgens mij is het een stel pubers die een fout gevonden heeft en nu alle websites die ze kennen aan het afgaan zijn om te zien of ze er hetzelfde mee kunnen

[gedeco]

De site is ondertussen niet meer bereikbaar, maar zou toch wel safe genoeg geweest zijn om een bezoekje te brengen denk ik ?

De DNS records van deze server werden aangepast naar localhost.
Volgens mij is die server zelf nog actief, maar werd de DNS en/of het IP address geblacklist.

Code: Selecteer alles

[root@Duvel ~]# wget http://1.verynx.cn/w.js
--22:56:12--  http://1.verynx.cn/w.js
           => `w.js'
Resolving 1.verynx.cn... 127.0.0.1
Connecting to 1.verynx.cn|127.0.0.1|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
22:56:13 ERROR 404: Not Found.

[root@Duvel ~]# whois verynx.cn
[Querying whois.cnnic.net.cn]
[whois.cnnic.net.cn]
[root@Duvel ~]#

[OpThaCop]

Dan heb ik het IP nog nodig om eens te gaan zien

[nonkie]

volgens mij is het een stel pubers die een fout gevonden heeft en nu alle websites die ze kennen aan het afgaan zijn om te zien of ze er hetzelfde mee kunnen

Dergelijke inbreuken kunnen ze niet zwaar genoeg bestraffen. Dat is mijn visie.

[skynetbbs]

clickx.be ook down ?

[Astralon]

Is van dezelfde uitgever als ZDnet.

[Gimli]

Hoe zit het met firefox + add-on "NoScript" ?

Ik gebruik deze van een paar maand terug en vind het geweldig!! Blokkeert zowat alles met javascript.

De site is ondertussen niet meer bereikbaar, maar zou toch wel safe genoeg geweest zijn om een bezoekje te brengen denk ik ?

Noscript is de max... het is ook een flashblokker (helpt ook bij banners)... en hiermee ben je stukken veiliger. Wat ook veel mensen niet weten, is dat als je een nieuwe versie van Java installeert, hij de oude versie laat staan en die nog altijd te benaderen valt. Je moet die zelf deinstalleren.

Heb ik hier gelezen
http://security4all.blogspot.com/2008/0 ... f-you.html

volgens mij is het een stel pubers die een fout gevonden heeft en nu alle websites die ze kennen aan het afgaan zijn om te zien of ze er hetzelfde mee kunnen

Nee, georganiseerde misdaad. Aan de inhoud van de websites veranderen ze niets maar ze injecteren een javascript die meerdere exploits op je PC probeert. Gewoon om een (banking of spamming) Trojan op je PC te installeren.

Ze hebben al honderden duizenden websites geinfecteerd dit jaar. Ook al enkele honderd in België. Zie ook hier
http://security4all.blogspot.com/2008/0 ... -wave.html

Script kiddies defacen alleen maar. Dit is gewoon infectie via de browser.

[AnD]

Werkt die website nu al terug ?

[Astralon]

Is terug online maar geen woord over wat er gebeurd is.
Ja, een beetje vervelend als je als doel hebt het grote publiek te adviseren over o.a. computer veiligheid en dan zelf gehackt wordt.

[Pieterjanvl]

In afwachting van een artikel op ZDNet kan ik jullie inderdaad bevestigen dat we gisterenavond geïnfecteerd zijn geweest.

Voor de zekerheid heeft onze IT-afdeling alle sites offline gehaald, om dezelfde reden zijn dus onder meer Clickx, Gamespot en PC Magazine onbereikbaar geweest.

Op dit moment zijn alle sites met uitzondering van Gamespot.be/.nl terug online. Voor meer informatie moet ik jullie doorverwijzen naar het artikel op ZDNet.be dat later op de dag verschijnt.

[meon]

Da's altijd effe paniek ja .
Wie herinnert zich nog dat userbase.be gehacked was; vrijwel ook op een dergelijke manier (SQL injection met een redirection naar een andere site). Doelsite was gelukkig in ons geval geen malicious javascript.
Jullie gebruiken dacht ik een zelfgeschreven CMS he? Toch wel knap dat ze daar dan een lek in gevonden hebben.

[deej]

Jullie gebruiken dacht ik een zelfgeschreven CMS he? Toch wel knap dat ze daar dan een lek in gevonden hebben.

Euh dat zijn net de makkelijkste om te hacken .

[Pieterjanvl]

We hebben inderdaad een eigen systeem maar zo'n dingen kunnen helaas altijd gebeuren.

Het was een SQL-injectie waar we in principe tegen beschermd zijn, maar dit was een nieuwe variant die onze beveiliging kon omzeilen. Intussen is alles terug min of meer in orde, op de site van Gamespot en de nachtrust van onze IT-afdeling na. ZDNet en zijn zustersites zijn dus opnieuw veilig te bezoeken.

Voor meer info verwijs ik jullie graag door naar het artikel van onze hoofdredacteur op http://www.zdnet.be/news.cfm?id=88517.

[meon]

Jullie gebruiken dacht ik een zelfgeschreven CMS he? Toch wel knap dat ze daar dan een lek in gevonden hebben.

Euh dat zijn net de makkelijkste om te hacken .

Hoezo? Ik dacht eerder dat lekken makkelijker op te sporen zouden zijn in open source software... Dit kan je toch enkel ontdekken met veel trial-and-error?

Volgens het artikel gaat het om een exploit van een Stored Procedure. Ik dacht dat die een heel stuk minder gevoelig waren voor het injecteren van SQL-data?

[deej]

Hoezo? Ik dacht eerder dat lekken makkelijker op te sporen zouden zijn in open source software... Dit kan je toch enkel ontdekken met veel trial-and-error?

Ja tuurlijk maar als je er nog wat fuzzy data tegen aan gooit ontdek je meestal heel snel een programmeerfout. Bovendien geven slecht geconfigureerde webservers meestal snel veel info over wat erop draait.

De meeste programmeurs zijn nog altijd niet zo heel security aware en niet iedereen heeft een Web Application Firewall draaien .

[AnD]

Dat lees je toch dikwijls dat het chinezen zijn of Filipijnen.

[splinterbyte]

Deze websites draaien op hetzelfde platform en dezelfde database.

LOL ? ik hoop dat ze niet echt dezelfde database maar dezelfde database software bedoelen ...

[Pieterjanvl]

Kleine update: Gamespot.be (en .nl) is sinds deze namiddag ook terug up and running.

De aanval is trouwens nog niet echt afgelopen, sinds vanmorgen zijn er al zo'n 6500 nieuwe pogingen geweest.

[AnD]

Kleine update: Gamespot.be (en .nl) is sinds deze namiddag ook terug up and running.

De aanval is trouwens nog niet echt afgelopen, sinds vanmorgen zijn er al zo'n 6500 nieuwe pogingen geweest.

Amai 6500, die Chinezen denken zeker dat de olympische spelen al zijn begonnen

[ljd]

Oh maar 6500 . Waarschijnlijk een chinees die na de teveel WoW in slaap gevallen op zijn toetsenbord.

[meon]

Deze websites draaien op hetzelfde platform en dezelfde database.

LOL ? ik hoop dat ze niet echt dezelfde database maar dezelfde database software bedoelen ...

Jowel, zelfde database. Speel maar eens met de ID's: ge kunt simpelweg een artikel van zdnet.be tonen in de layout van GameSpot.be
Zie:
http://www.zdnet.be/news.cfm?id=88574
http://www.windowsvistamagazine.be/vista.cfm?id=88574
http://fwdmagazine.zdnet.be/fwd.cfm?id=88574
...

[Styno]

uhu ??

[Gimli]

In afwachting van een artikel op ZDNet kan ik jullie inderdaad bevestigen dat we gisterenavond geïnfecteerd zijn geweest.

Voor de zekerheid heeft onze IT-afdeling alle sites offline gehaald, om dezelfde reden zijn dus onder meer Clickx, Gamespot en PC Magazine onbereikbaar geweest.

Op dit moment zijn alle sites met uitzondering van Gamespot.be/.nl terug online. Voor meer informatie moet ik jullie doorverwijzen naar het artikel op ZDNet.be dat later op de dag verschijnt.

Een heel duidelijke en eerlijke communicatie!! Respect !!

[AnD]

In afwachting van een artikel op ZDNet kan ik jullie inderdaad bevestigen dat we gisterenavond geïnfecteerd zijn geweest.

Voor de zekerheid heeft onze IT-afdeling alle sites offline gehaald, om dezelfde reden zijn dus onder meer Clickx, Gamespot en PC Magazine onbereikbaar geweest.

Op dit moment zijn alle sites met uitzondering van Gamespot.be/.nl terug online. Voor meer informatie moet ik jullie doorverwijzen naar het artikel op ZDNet.be dat later op de dag verschijnt.

Een heel duidelijke en eerlijke communicatie!! Respect !!

Inderdaad...

[nonkie]

Wel van mij ook respect. Ik denk dat het voor hen hard aankomt dat site's die ons nieuws brengen over de it wereld zelf het slachtoffer worden van waar ze ons regelmatig voor waarschuwen. Het is heel mooi dat ze eerlijk en oprecht zijn. Ze hadden evengoed rond de pot kunnen draaien. Ik hoop dat de daders gevat worden en zwaar gestraft worden.

[Lord Utopia]

Wel van mij ook respect. Ik denk dat het voor hen hard aankomt dat site's die ons nieuws brengen over de it wereld zelf het slachtoffer worden van waar ze ons regelmatig voor waarschuwen. Het is heel mooi dat ze eerlijk en oprecht zijn. Ze hadden evengoed rond de pot kunnen draaien. Ik hoop dat de daders gevat worden en zwaar gestraft worden.

in een land als China? Alee, ge zou juist denken dat die mensen daar niet op het internet mogen van hun regering :"D

[nonkie]

in een land als China? Alee, ge zou juist denken dat die mensen daar niet op het internet mogen van hun regering :"D

Wie zegt dat ze vanuit China opereren?

[Astralon]

Volgens het artikel gaat het om een exploit van een Stored Procedure. Ik dacht dat die een heel stuk minder gevoelig waren voor het injecteren van SQL-data?

Als je even naar het MSDN artikel kijkt dan zal je zien dat stored procedures ook misbruikt kunnen worden voor het injecteren van SQL-data maar door gebruik te maken van Type-Safe SQL Parameters reduceer je de kans op een succesvolle injectie enorm.

Wat ik me afvraag? Hebben ze die CAPTCHA ook omzeild?

[Lord Utopia]

in een land als China? Alee, ge zou juist denken dat die mensen daar niet op het internet mogen van hun regering :"D

Wie zegt dat ze vanuit China opereren?

Jahoor, een bende chinezen die reist naar de VSA om daar eens een paar websites te hacken uit een klein miezerig land.